IBM gab die Verfügbarkeit von Code Risk Analyzer bekannt in Ihrem IBM Cloud Continuous Delivery-Service eine Funktion für Entwickler bereitstellen DevSecOps Sicherheits- und Compliance-Analyse.
Code-Risiko-Analysator kann so konfiguriert werden, dass es beim Start ausgeführt wird aus der Code-Pipeline eines Entwicklers und untersucht und analysiert die Git-Repositorys nach Ärger suchen bekannt für jeden Open Source Code, der verwaltet werden muss.
Hilft bei der Bereitstellung von Werkzeugketten, Builds und Tests automatisieren, und ermöglicht es Benutzern, die Qualität der Software mithilfe von Analysen zu steuern, so das Unternehmen.
Das Ziel des Code-Analysators ist es, Anwendungsteams zuzulassen Cybersicherheitsbedrohungen identifizierenPriorisieren Sie Sicherheitsprobleme, die sich auf Anwendungen auswirken können, und beheben Sie Sicherheitsprobleme.
Steven Weaver von IBM sagte in einem Beitrag:
„Die Reduzierung des Risikos der Einbettung von Schwachstellen in Ihren Code ist für eine erfolgreiche Entwicklung von entscheidender Bedeutung. Da native Open Source-, Container- und Cloud-Technologien immer häufiger und wichtiger werden, kann das Verschieben von Überwachung und Tests zu einem früheren Zeitpunkt im Entwicklungszyklus Zeit und Geld sparen.
„IBM freut sich, heute Code Risk Analyzer vorstellen zu können, eine neue Funktion von IBM Cloud Continuous Delivery. Code Risk Analyzer wurde in Zusammenarbeit mit IBM Research-Projekten und Kundenfeedback entwickelt und ermöglicht Entwicklern wie Ihnen, Rechts- und Sicherheitsrisiken, die möglicherweise in Ihren Quellcode eingedrungen sind, schnell zu bewerten und zu korrigieren und Feedback direkt in Ihren Code zu geben. Git-Artefakte (z. B. Pull / Merge-Anforderungen). Code Risk Analyzer wird als eine Reihe von Tekton-Aufgaben bereitgestellt, die problemlos in Ihre Lieferkanäle integriert werden können. “
Code Risk Analyzer bietet die folgenden Funktionen Scan-Quell-Repositorys basierend auf IBM Cloud Continuous Delivery Git und Issue Tracking (GitHub), um nach bekannten Schwachstellen zu suchen.
Zu den Funktionen gehört das Erkennen von Schwachstellen in Ihrer Anwendung (Python, Node.js, Java) und im Betriebssystemstapel (Basisimage) basierend auf Snyks umfangreichen Bedrohungsinformationen. und Clear und bietet Korrekturempfehlungen.
IBM hat sich mit Snyk zusammengetan, um die Abdeckung zu integrieren Umfassende Sicherheitssoftware, mit der Sie Schwachstellen in Open Source-Containern und Abhängigkeiten frühzeitig in Ihrem Workflow automatisch finden, priorisieren und beheben können.
Die Snyk Intel Vulnerability Database wird kontinuierlich von einem erfahrenen Snyk-Sicherheitsforschungsteam kuratiert, damit Teams Open Source-Sicherheitsprobleme optimal eindämmen und sich weiterhin auf die Entwicklung konzentrieren können.
Clair ist ein Open Source-Projekt zur statischen Analyse Schwachstellen in Anwendungscontainern. Da Sie Bilder mithilfe einer statischen Analyse scannen, können Sie Bilder analysieren, ohne Ihren Container auszuführen.
Code Risk Analyzer kann Konfigurationsfehler erkennen in Ihren Kubernetes-Bereitstellungsdateien basierend auf Industriestandards und Best Practices der Community.
Code-Risiko-Analysator erzeugt eine Nomenklatur (Stückliste) A repräsentiert alle Abhängigkeiten und ihre Quellen für Anwendungen. Mit der BoM-Diff-Funktion können Sie auch die Unterschiede in Abhängigkeiten mit den Basiszweigen im Quellcode vergleichen.
Während sich die vorherigen Lösungen auf die Ausführung am Anfang der Code-Pipeline eines Entwicklers konzentrierten, haben sie sich als unwirksam erwiesen, da Container-Images auf die minimale Nutzlast reduziert wurden, die zum Ausführen einer Anwendung erforderlich ist, und die Images nicht den Entwicklungskontext einer Anwendung haben.
Bei Anwendungsartefakten zielt Code Risk Analyzer darauf ab, Schwachstellen-, Lizenz- und CIS-Überprüfungen für Bereitstellungskonfigurationen bereitzustellen, Stücklisten zu generieren und Sicherheitsüberprüfungen durchzuführen.
Terraform-Dateien (* .tf), die zum Bereitstellen oder Konfigurieren von Cloud-Diensten wie Cloud Object Store und LogDNA verwendet werden, werden ebenfalls analysiert, um Sicherheitskonfigurationsfehler zu identifizieren.
Quelle: https://www.ibm.com